Commentaire arrêt droit de l'Union européenne

Commentaire d’arrêt, CJUE 6 octobre 2015, Schrems

« Europe’s high court just struck down a major law routinely abused for surveillance. We are all safer as a result^[1] ».

Cette phrase postée par Edward SNOWDEN, sur Twitter, le 6 octobre 2015 n’est pas sans rappeler la thématique centrale de la décision rendue par la grande chambre de la Cour de Justice de l’Union Européenne le même jour en matière de protection des données personnelles sur internet.

En l’espèce, un ressortissant autrichien estime que son droit fondamental à la protection de ses données personnelles sur internet n’est pas respecté par Facebook, qui transfert ses données à caractère personnel vers des serveurs établis aux Etats-Unis.

Il saisit alors une autorité de contrôle irlandaise (pays où est établit le siège européen de Facebook) pour s’opposer au transfert de ses données à caractère personnel. Les autorités de contrôle irlandaise rejettent sa demande au motif qu’une décision de la Commission Européenne 2000/520 a déjà autorisé ce transfert en estimant que les Etats-Unis avaient un niveau de protection adéquat en vertu d’un cadre juridique nommé « sphère de sécurité ». Le ressortissant irlandais introduit alors un recours devant la Haute Cour de Justice irlandaise, laquelle sursoit à statuer et demande à titre préjudicielle à la Cour de Justice de l’Union Européenne, en vertu de l’article 267 du Traité sur le fonctionnement de l’Union Européenne, de trancher sur le pouvoir des autorités nationales de contrôle en matière de transfert de données à caractère personnel.

Ainsi, la Cour de Justice de l’Union Européenne a dû se prononcer sur la question de savoir si une autorité de contrôle d’un Etat membre doit se conformer à une décision rendue par la Commission Européenne ou si elle libre de se prononcer en toute indépendance sur le transfert de données à caractère personnel.

La Cour de Justice de l’Union Européenne se prononce tout d’abord sur les pouvoirs des autorités nationales de contrôle en estimant qu’une décision adoptée par la Commission Européenne n'empêche pas une autorité nationale de contrôle, saisie par un ressortissant national, de rechercher si un Etat tiers respecte ou non le niveau de protection adéquat requis. La Cour de Justice de l’Union Européenne se prononce ensuite sur la validité de la décision 2000/520 rendue par la Commission Européenne et considère que celle-ci est invalide dans son ensemble.

Cette décision rendue par la grande chambre de la Cour de Justice de l’Union Européenne est une décision qui s’inscrit dans la lignée des révélations d’Edward SNOWDEN en 2013 sur la surveillance massive d’internet. Cette décision vient également confirmer certaines jurisprudences antérieures rendues en 2014 (CJUE, 8 avril 2014, Digital Right Ireland et CJUE, 13 mai 2014, Google Spain et Google) et s’inscrivant elles aussi dans ce mouvement relatif à la protection des données personnelles des ressortissants de l’Union Européenne. Néanmoins, dans cet arrêt, la Cour de Justice de l’Union Européenne prend position pour la première fois sur la « sphère de sécurité » qui permet le transfert des données personnelles des ressortissants européens vers les Etats-Unis et qui assure, au sens de la décision 2000/520 de la Commission Européenne, un niveau de protection adéquat des Etats-Unis. C’est en ce sens que l’on peut dire que cette solution est novatrice.

Pour rendre sa décision, la Cour de Justice de l’Union Européenne va donc analyser le pouvoir des autorités nationales de contrôle en rappelant le principe selon lequel les Etats, même membres de l’Union Européenne, conservent un degré de souveraineté élevé. En vertu des articles 7 et 8 de la Charte et en se fondant également sur la directive 95/46 qui prévoit la protection des données personnelles comme un droit fondamental et qui soumet leur transfert à des conditions, la Cour va venir approfondir la question de la protection des données personnelles et se positionner sur le cas des Etats-Unis.

Par conséquent, il convient d’observer comment le juge concilie de manière novatrice la protection du transfert de données personnelles vers des entreprises privées américaines avec le pouvoir des autorités nationales de contrôle des Etats membres de l’Union Européenne.

C’est pourquoi, il est important de voir, dans un premier temps, comment la Cour de Justice de l’Union Européenne affirme sa position sur la question du contrôle du transfert des données personnelles (I), pour comprendre dans un second temps l’impact de la position de la Cour de Justice de l’Union Européenne sur la question de la validité de la décision 2000/520 (II).

1. L’affirmation de la position de la Cour de Justice sur la question du contrôle du transfert de données à caractère personnel

Dans cet arrêt en date du 6 octobre 2015, la Cour de Justice de l’Union Européenne vient expressément reconnaitre le pouvoir et l’indépendance des autorités nationales de contrôle face à une décision de la Commission Européenne (A), tout en modérant son discours et en reconnaissant que la Cour de Justice est seule compétente pour apprécier la validité d’une telle décision (B).

1.  L’affirmation de l’indépendance des autorités nationales de contrôle

Dans cet arrêt, la Cour de Justice de l’Union Européenne affirme (n°53) que « la décision 2000/520, ne saurait empêcher les personnes dont les données à caractère personnel ont été ou pourraient être transférées vers un pays tiers de saisir les autorités nationales de contrôle d’une demande […] relative à la protection de leurs droits et libertés à l’égard du traitement de ces données ».

Ainsi, la Cour de Justice estime, en vertu de l’article 8 de la Charte, que tout ressortissant européen peut saisir les autorités nationales s’il estime que le niveau de protection adéquat relatif au transfert de ses données personnelles n’est pas respecté. Par conséquent, la Cour de Justice reconnait le pouvoir des autorités nationales de contrôle et va même jusqu’à reconnaitre leur indépendance face à une décision rendue par la Commission Européenne.

En effet, la Cour énonce (n°53) qu’ « une décision de cette nature ne saurait […] ni annihiler ni réduire les pouvoirs expressément reconnus aux autorités nationales de contrôle par l’article 8, paragraphe 3 de la Charte ainsi que par l’article 28 de la directive 95/46 ». Ainsi, bien que la Commission Européenne ait rendu une décision relative à la protection des données personnelles et ait conclu que les Etats-Unis assuraient un niveau de protection adéquat, les autorités nationales sont compétentes pour examiner en toute indépendance, si les dispositions de la décision de la Commission Européenne sont conformes ou non aux exigences posées par la directive en matière de transfert des données personnelles d’un ressortissant de l’Union Européenne.

...